Provas de denunciantes: carimbe no tempo sem publicar

Uma Proof of Existence (prova de existência) selada pode preservar as provas de um denunciante sem nunca publicar os arquivos. O remetente calcula o hash das provas, cifra-as para um único destinatário escolhido e publica um registro Label 309 na Cardano. O registro na cadeia carrega apenas o hash e as chaves encapsuladas — nunca o texto claro e nunca a identidade do destinatário. Depois, o destinatário decifra o arquivo e confirma que ele corresponde ao compromisso carimbado no tempo.

Isso prova que as provas existiam até um momento público e chegaram a um detentor de chave específico. Isso não torna o remetente anônimo, não o mantém seguro, não concede proteção jurídica nem garante que algo será admitido em juízo. Trate um registro selado como uma camada de prova e criptografia, não como uma estratégia de divulgação por si só.

Que problema isso realmente resolve?

Provas são frágeis. Um arquivo pode ser excluído. Um documento pode ser editado. Uma captura de tela pode ser contestada. Uma exportação de banco de dados pode ser gerada de novo e retroagida. Um denunciante muitas vezes precisa mostrar que um arquivo específico existia antes de uma divulgação, de uma alegação de retaliação, de uma auditoria ou de um processo judicial — e mostrar isso sem depender da boa vontade da organização a que as provas se referem.

Ao mesmo tempo, publicar o arquivo em texto claro pode ser perigoso, ilegal ou simplesmente errado. Pode expor terceiros, segredos comerciais ou prontuários médicos.

Um registro Label 309 selado separa a prova do texto claro. A linha do tempo pode ser pública e permanente. O conteúdo permanece cifrado para um único destinatário. Você obtém o carimbo de tempo sem pagar o preço da divulgação.

Como funciona a prova selada, passo a passo?

O fluxo é o mesmo descrito em hash, assine, sele, compartilhe, aplicado a material sensível:

O remetente prepara o arquivo de provas, ou um manifesto de evidências descrevendo muitos arquivos.
O software calcula o hash do texto claro.
O conteúdo é cifrado para o endereço de recebimento do destinatário — a chave de conteúdo é encapsulada na chave pública do destinatário em um envelope selado no estilo age.
O texto cifrado é armazenado em um local endereçado por conteúdo (ar:// ou ipfs://). Apenas o texto cifrado fica ali; o texto claro nunca.
Um registro Label 309 é publicado na Cardano, carregando o hash e a chave encapsulada — não o texto claro, não a chave pública do destinatário.
Depois, o destinatário busca o texto cifrado e o decifra localmente.
O destinatário recalcula o hash do texto claro e o confere contra o registro.

O registro prova quando o compromisso existiu. O arquivo decifrado prova do que o compromisso tratava. Ambas as metades são necessárias, e a segunda permanece privada para o detentor da chave.

Por que não colocar as provas diretamente na blockchain?

Porque uma blockchain pública é permanente, e algumas provas nunca podem ser tornadas públicas com segurança. Material sensível pode conter dados pessoais, informações comerciais confidenciais, detalhes médicos, segredos comerciais, credenciais, vulnerabilidades de segurança, nomes de pessoas não envolvidas ou conteúdo legalmente restrito. Uma vez que isso esteja em um livro-razão público, não há como recuar.

Uma prova selada permite que o remetente se comprometa com os bytes exatos sem expô-los. O destinatário recebe e verifica o conteúdo de forma privada, enquanto o resto do mundo vê apenas que algum registro selado foi publicado em determinado horário de bloco. Esse é o mesmo padrão abordado em divulgação confidencial sem arquivos públicos.

Quem deve ser o destinatário — e como chegar ao certo?

Escolha o destinatário com cuidado. Pode ser um jornalista, um advogado, um órgão regulador, um escritório interno de ética, um auditor, uma organização da sociedade civil ou um investigador de confiança. A exigência rígida é que o remetente tenha um endereço de recebimento que pertença genuinamente ao destinatário pretendido.

Um endereço de recebimento é apenas uma string de chave pública (parece com age1…). Por si só, ele não prova nada sobre quem o controla — o Label 309 deliberadamente não especifica nenhuma agenda nem nenhum registro confiável de chaves. Por isso, para provas sensíveis, o remetente deve confirmar o endereço por um canal que ambos os lados já confiem, exatamente como descreve verifique um destinatário antes de selar um arquivo.

Erre nisso e o custo é real: envie para a chave errada e as provas ficam ilegíveis para a pessoa que você pretendia — ou legíveis para alguém que você não pretendia.

O remetente deve assinar o registro?

Em geral, não, se o objetivo é evitar a atribuição.

Uma assinatura no nível do registro vincula o registro a uma chave pública. Isso é útil quando uma empresa ou uma pessoa identificada quer responsabilização. É arriscado quando o remetente precisa evitar associar a divulgação a uma identidade.

Assinaturas de autoria no Label 309 são sempre opcionais. Um registro selado não assinado ainda prova que o compromisso com as provas existia até um momento público — apenas não faz nenhuma afirmação pública de autoria, e na cadeia não vincula nenhuma identidade de remetente. O trade-off é simples:

registros assinados acrescentam responsabilização;
registros não assinados evitam atribuição pública respaldada por chave.

Qual deles é o correto depende inteiramente do contexto jurídico e de segurança, e essa é uma decisão a tomar com um advogado, não a partir de um post de blog.

Um registro selado torna o remetente anônimo?

Não. Esta é a limitação mais importante de todas, então vale ser direto.

Um registro Label 309 selado e não assinado mantém o texto claro, a identidade do destinatário e qualquer assinatura do remetente fora da cadeia, e o feed global de registros é cego ao destinatário — nada nele aponta de volta para quem pode decifrar. Mas o anonimato depende de muito mais do que os bytes de um registro. Tudo que está fora do registro ainda pode expor o remetente:

metadados de rede e endereços IP;
impressões digitais de navegador ou dispositivo;
um dispositivo comprometido;
rastros de pagamento;
atividade da conta no gateway;
correlação de tempo entre publicações;
metadados de arquivo, documento e câmera;
estilo de escrita;
erros operacionais;
o canal usado para falar com o destinatário.

A criptografia não consegue resolver isso. Esses pontos são domínio de ferramentas dedicadas de proteção de fontes, de segurança operacional e de orientação jurídica. Não trate uma Proof of Existence selada como um sistema de anonimato — trate-a como uma forma de carimbar no tempo e cifrar, e combine-a com as ferramentas certas para todo o resto.

O que o destinatário pode verificar depois de ter o arquivo?

Um destinatário com a chave privada correspondente pode conferir toda a cadeia de afirmações:

que o registro Label 309 existe na Cardano;
o horário de bloco e o contexto de confirmação desse registro;
que sua chave abre um dos compartimentos do envelope, recuperando a chave de conteúdo;
que o hash do texto claro recalculado corresponde ao hash comprometido na cadeia;
uma prova de inclusão Merkle, caso as provas fossem uma folha em um pacote maior;
uma assinatura de registro, se o remetente escolheu assinar.

Qualquer um sem uma chave correspondente — inclusive um verificador público — ainda pode confirmar que o registro existe, que seu envelope está bem formado e que a URI do texto cifrado está acessível. O que não pode fazer é decifrá-lo ou descobrir do que ele trata. Essa divisão é justamente o ponto: a cadeia testemunha um compromisso, e somente o detentor da chave confirma do que ele trata.

O que uma prova selada não prova?

Um carimbo de tempo é deliberadamente limitado. Um registro selado não prova:

que as provas são verdadeiras;
que o remetente está protegido por lei de proteção a denunciantes;
que a divulgação é legal;
que o destinatário é confiável, ou que manterá o texto claro confidencial;
que o arquivo foi obtido de forma lícita;
que o remetente é anônimo.

E uma vez que um destinatário decifre o conteúdo, nada o impede de compartilhá-lo — a criptografia protege o arquivo em trânsito e em repouso, não a discrição do destinatário depois disso.

O que um registro selado de fato prova é exato e útil: um compromisso carimbado no tempo com bytes específicos, entregue a um detentor de chave específico. Ele não substitui orientação jurídica, a prática jornalística de proteção de fontes, ferramentas de comunicação segura ou um plano de segurança. Para mais sobre esse limite, veja o que uma prova não prova.

Por que selar um manifesto em vez de um único arquivo compactado?

As provas geralmente chegam como um pacote, não como um único arquivo organizado. Em vez de selar um único arquivo compactado e opaco, o remetente pode montar um manifesto de evidências que registra:

nomes de arquivos ou identificadores neutros;
hashes por arquivo;
horário de coleta;
notas de origem e cadeia de custódia;
status de redação;
informações do destinatário;
folhas Merkle e provas de inclusão.

Entradas sensíveis podem elas próprias ser cifradas. O manifesto ajuda o destinatário a entender o que foi divulgado e a verificar arquivos individuais depois. Para conjuntos grandes, uma única raiz Merkle compromete o pacote inteiro ao mesmo tempo que permite conferir cada arquivo isoladamente — a abordagem de um registro para milhares de arquivos.

Como uma organização deve se preparar para receber divulgações seladas?

As organizações devem fazer o trabalho de base antes de convidar pessoas a enviar provas sensíveis. Isso significa publicar endereços de recebimento com cuidado, rotacioná-los ou desativá-los quando necessário, verificar a propriedade do endereço de ponta a ponta, proteger as sementes de destinatário que podem decifrar, definir com clareza quem tem permissão para decifrar e documentar como as provas seladas são tratadas.

Elas também devem ser honestas com as fontes sobre os limites. Um endereço de recebimento não é um sistema completo de entrega segura; é um componente de um processo de recepção. Uma organização que quer dar suporte a divulgações genuinamente de alto risco precisa de procedimentos jurídicos, de segurança e operacionais envolvendo a criptografia — não da criptografia sozinha.

Como isso ajuda mais tarde, em uma disputa?

Isso estabelece a linha do tempo das provas. Se uma questão surgir depois, o destinatário pode conseguir mostrar:

a referência da transação Cardano;
o registro Label 309 e seu horário de bloco;
a carga cifrada;
as provas decifradas;
o hash do texto claro correspondente;
a prova de inclusão Merkle, para um arquivo em pacote;
o fato de que o compromisso existia antes de uma data específica.

Isso pode sustentar uma investigação, um relatório, uma análise jurídica ou um processo interno de responsabilização — e, como a verificação precisa apenas dos metadados da transação, dos bytes e de um explorador público da Cardano, ela não depende de a CardanoWall ainda existir. São provas sobre existência e integridade, não sobre quem está certo. O padrão relacionado para divulgações corporativas sensíveis ao tempo é abordado em linhas do tempo de incidentes de segurança, e o contexto mais amplo de tribunal em provas jurídicas e e-discovery.

A versão curta

Um registro Label 309 selado permite que um denunciante e um destinatário escolhido preservem provas de forma privada. Ele carimba um compromisso no tempo, cifra os arquivos para um único destinatário e permite que esse destinatário prove depois que os bytes decifrados correspondem ao registro público.

Ele não garante anonimato, legalidade, segurança ou veracidade, e um destinatário pode vazar o que decifra. Use-o como uma camada cuidadosa dentro de um processo de divulgação mais amplo e bem assessorado — nunca como o plano inteiro.

Leitura adicional

Divulgação confidencial sem arquivos públicos
Verifique um destinatário antes de selar um arquivo
O que uma prova não prova
O padrão Label 309: label309.org
O código-fonte aberto, a CLI e os SDKs: github.com/cardanowall